forum.opennet.ru - "Обновление web-фреймворка Django с устранением уязвимости" (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Обновление web-фреймворка Django с устранением уязвимости"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление web-фреймворка Django с устранением уязвимости"	+/–
Сообщение от opennews (ok) on 25-Ноя-15, 10:35
Опубликованы (https://www.djangoproject.com/weblog/2015/nov/24/security-re.../) корректирующие выпуски web-фреймворка Django 1.9rc2, 1.8.7 и 1.7.11 (https://www.djangoproject.com/), в которых устранена уязвимость (CVE-2015-8213), позволяющая узнать содержимое любой переменной конфигурации. Например, атакующий может узнать содержимое настроек, включающих такие конфиденциальные данные, как ключи шифрования и пароли доступа к СУБД. Уязвимость также проявляется в Django 1.6 и более ранних выпусках, поддержка которых уже прекращена. Пользователям Django рекомендуется как можно скорее установить обновление или перейти на использование актуальной ветки фреймворка. Проблема вызвана ошибкой в реализации фильтра "date", допускающего применение некорректного формата даты, вместо которой можно передать имя параметра конфигурации и получить его значение (функция django.utils.formats.get_format() обрабатывала не только настройки форматирования даты, но и осуществляла подстановку других параметров конфигурации). Уязвимость проявляется в приложениях, использующих фильтр "date" над данными, поступающими извне (например "last_updated\|date:user_date_format"). URL: https://www.djangoproject.com/weblog/2015/nov/24/security-re.../ Новость: http://www.opennet.dev/opennews/art.shtml?num=43391
Ответить \| Правка \| Cообщить модератору

Оглавление

Обновление web-фреймворка Django с устранением уязвимости, eRIC, 10:35 , 25-Ноя-15, (1) +5
Обновление web-фреймворка Django с устранением уязвимости, 10й Брейтовский переулок, 11:27 , 25-Ноя-15, (2) –1

Обновление web-фреймворка Django с устранением уязвимости, тоже Аноним, 11:35 , 25-Ноя-15, (3)
Обновление web-фреймворка Django с устранением уязвимости, Аноним, 12:18 , 25-Ноя-15, (4)

Обновление web-фреймворка Django с устранением уязвимости, Anonymous1, 14:05 , 25-Ноя-15, (5)

Обновление web-фреймворка Django с устранением уязвимости, Typhoon, 16:57 , 25-Ноя-15, (6)

Обновление web-фреймворка Django с устранением уязвимости, ., 17:41 , 25-Ноя-15, (9) +1

Обновление web-фреймворка Django с устранением уязвимости, www2, 17:06 , 25-Ноя-15, (7)

Обновление web-фреймворка Django с устранением уязвимости, ., 17:43 , 25-Ноя-15, (10)

Обновление web-фреймворка Django с устранением уязвимости, www2, 17:48 , 25-Ноя-15, (12)

Обновление web-фреймворка Django с устранением уязвимости, meequz, 17:18 , 25-Ноя-15, (8) +3

Обновление web-фреймворка Django с устранением уязвимости, ., 17:46 , 25-Ноя-15, (11) –1

Обновление web-фреймворка Django с устранением уязвимости, Аноним, 18:27 , 25-Ноя-15, (13)

Обновление web-фреймворка Django с устранением уязвимости, анан, 23:51 , 25-Ноя-15, (14)

Сообщения по теме [Сортировка по ответам | RSS]

1. "Обновление web-фреймворка Django с устранением уязвимости" +5 +/–

Сообщение от eRIC (ok) on 25-Ноя-15, 10:35

прям как Django неуязвимый :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление web-фреймворка Django с устранением уязвимости" –1 +/–

Сообщение от 10й Брейтовский переулок on 25-Ноя-15, 11:27

Как фреймворк - так уязвимост(и)ь!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление web-фреймворка Django с устранением уязвимости" +/–

Сообщение от тоже Аноним (ok) on 25-Ноя-15, 11:35

В тесовых заборах и штакетнике, в отличие от крепостных стен, брешей не бывает.
Но это не означает, что они безопаснее.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление web-фреймворка Django с устранением уязвимости" +/–

Сообщение от Аноним (??) on 25-Ноя-15, 12:18

Напишите свой фреймворк, без уязвимостей и дыр.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление web-фреймворка Django с устранением уязвимости" +/–

Сообщение от Anonymous1 on 25-Ноя-15, 14:05

"Если написать фреймворк, которым сможет пользоваться и дурак, то только дураки будут им пользоваться" (слегка перефразированная классика, кажется Вирт, исходно по поводу операционных систем).

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Обновление web-фреймворка Django с устранением уязвимости" +/–

Сообщение от Typhoon (ok) on 25-Ноя-15, 16:57

это самомнение

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Обновление web-фреймворка Django с устранением уязвимости" +/–

Сообщение от www2 (??) on 25-Ноя-15, 17:06

Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Обновление web-фреймворка Django с устранением уязвимости" +3 +/–

Сообщение от meequz (ok) on 25-Ноя-15, 17:18

Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки. Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал, то ему стоит повторить курс логики.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Обновление web-фреймворка Django с устранением уязвимости" +1 +/–

Сообщение от . on 25-Ноя-15, 17:41

Он "сперва сделай!" - сделал. Имеет право рассуждать.
Ты - нет.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Обновление web-фреймворка Django с устранением уязвимости" +/–

Сообщение от . on 25-Ноя-15, 17:43

> Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У
> него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
Шутишь? Потому как если серьёзно ... то я даже не знаю ...
Я не поклонник джанги, но пля что может быть для новичка проще?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Обновление web-фреймворка Django с устранением уязвимости" –1 +/–

Сообщение от . on 25-Ноя-15, 17:46

> Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки.
> Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал,
> то ему стоит повторить курс логики.
meequz учит мэтра формальной логике ... :-)
Галантерейщик и Кардинал - это сила! Мы спасём францию! (С)
Пыхтит, мля, старается и не видит что дедушка тихонечко ржет :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Обновление web-фреймворка Django с устранением уязвимости" +/–

Сообщение от www2 (??) on 25-Ноя-15, 17:48

>> Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У
>> него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
> Шутишь? Потому как если серьёзно ... то я даже не знаю ...
> Я не поклонник джанги, но пля что может быть для новичка проще?
Bottle, например. Или вы Django без ORM, шаблонизатора и объектов форм используете?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Обновление web-фреймворка Django с устранением уязвимости" +/–

Сообщение от Аноним (??) on 25-Ноя-15, 18:27

Исходно это принцип Шоу.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Обновление web-фреймворка Django с устранением уязвимости" +/–

Сообщение от анан on 25-Ноя-15, 23:51

шоу маст гоу он?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	1. "Обновление web-фреймворка Django с устранением уязвимости"	+5 +/–
	Сообщение от eRIC (ok) on 25-Ноя-15, 10:35
	прям как Django неуязвимый :)
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Обновление web-фреймворка Django с устранением уязвимости"	–1 +/–
	Сообщение от 10й Брейтовский переулок on 25-Ноя-15, 11:27
	Как фреймворк - так уязвимост(и)ь!
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Обновление web-фреймворка Django с устранением уязвимости"	+/–
	Сообщение от тоже Аноним (ok) on 25-Ноя-15, 11:35
	В тесовых заборах и штакетнике, в отличие от крепостных стен, брешей не бывает. Но это не означает, что они безопаснее.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Обновление web-фреймворка Django с устранением уязвимости"	+/–
	Сообщение от Аноним (??) on 25-Ноя-15, 12:18
	Напишите свой фреймворк, без уязвимостей и дыр.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Обновление web-фреймворка Django с устранением уязвимости"	+/–
	Сообщение от Anonymous1 on 25-Ноя-15, 14:05
	"Если написать фреймворк, которым сможет пользоваться и дурак, то только дураки будут им пользоваться" (слегка перефразированная классика, кажется Вирт, исходно по поводу операционных систем).
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Обновление web-фреймворка Django с устранением уязвимости"	+/–
	Сообщение от Typhoon (ok) on 25-Ноя-15, 16:57
	это самомнение
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Обновление web-фреймворка Django с устранением уязвимости"	+/–
	Сообщение от www2 (??) on 25-Ноя-15, 17:06
	Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	8. "Обновление web-фреймворка Django с устранением уязвимости"	+3 +/–
	Сообщение от meequz (ok) on 25-Ноя-15, 17:18
	Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки. Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал, то ему стоит повторить курс логики.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	9. "Обновление web-фреймворка Django с устранением уязвимости"	+1 +/–
	Сообщение от . on 25-Ноя-15, 17:41
	Он "сперва сделай!" - сделал. Имеет право рассуждать. Ты - нет.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	10. "Обновление web-фреймворка Django с устранением уязвимости"	+/–
	Сообщение от . on 25-Ноя-15, 17:43
	> Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У > него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще. Шутишь? Потому как если серьёзно ... то я даже не знаю ... Я не поклонник джанги, но пля что может быть для новичка проще?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	11. "Обновление web-фреймворка Django с устранением уязвимости"	–1 +/–
	Сообщение от . on 25-Ноя-15, 17:46
	> Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки. > Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал, > то ему стоит повторить курс логики. meequz учит мэтра формальной логике ... :-) Галантерейщик и Кардинал - это сила! Мы спасём францию! (С) Пыхтит, мля, старается и не видит что дедушка тихонечко ржет :)
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	12. "Обновление web-фреймворка Django с устранением уязвимости"	+/–
	Сообщение от www2 (??) on 25-Ноя-15, 17:48
	>> Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У >> него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще. > Шутишь? Потому как если серьёзно ... то я даже не знаю ... > Я не поклонник джанги, но пля что может быть для новичка проще? Bottle, например. Или вы Django без ORM, шаблонизатора и объектов форм используете?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "Обновление web-фреймворка Django с устранением уязвимости"	+/–
	Сообщение от Аноним (??) on 25-Ноя-15, 18:27
	Исходно это принцип Шоу.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	14. "Обновление web-фреймворка Django с устранением уязвимости"	+/–
	Сообщение от анан on 25-Ноя-15, 23:51
	шоу маст гоу он?
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору